El FBI rastreó el malware de ciberespionaje durante casi dos décadas
el gobierno de los estados unidos dijo que interrumpió una campaña rusa de espionaje cibernético de larga duración que robó información confidencial de los gobiernos de EE. UU. y la OTAN, una operación que tomó a los federales casi 20 años.
El Departamento de Justicia anunció el martes que una operación del FBI desmanteló con éxito la red de malware «Snake» utilizada por Turla, un notorio grupo de piratería afiliado durante mucho tiempo al Servicio Federal de Seguridad (FSB) de Rusia. Turla estuvo anteriormente vinculada a un ataque cibernético dirigido al Comando Central de EE. UU., la NASA y el Pentágono.
Los funcionarios estadounidenses describen a Snake como la «herramienta de ciberespionaje más sofisticada del arsenal del FSB».
El DOJ y sus socios globales identificaron el malware Snake en cientos de sistemas informáticos en al menos 50 países. Los fiscales dijeron que los espías rusos detrás del grupo Turla utilizaron el malware para apuntar a los estados miembros de la OTAN, y otros objetivos del gobierno ruso, desde 2004.
En los Estados Unidos, el FSB usó su extensa red de computadoras infectadas con Snake para apuntar a industrias que incluyen educación, pequeñas empresas y organizaciones de medios, junto con sectores de infraestructura crítica que incluyen instalaciones gubernamentales, servicios financieros, manufactura y comunicaciones. El FBI dijo que obtuvo información que indica que Turla también había usado el malware Snake para apuntar a la computadora personal de un periodista en una empresa de medios de comunicación estadounidense no identificada que había informado sobre el gobierno ruso.
Los fiscales agregaron que Snake persiste en el sistema de una computadora comprometida “indefinidamente”, a pesar de los esfuerzos de la víctima por neutralizar la infección.
Después de robar documentos confidenciales, Turla extrajo esta información a través de una red encubierta de igual a igual de computadoras comprometidas con Snake en los EE. UU. y otros países, dijo el Departamento de Justicia, lo que hace que la presencia de la red sea más difícil de detectar.
De Brooklyn a Moscú
Según la declaración jurada del FBI, las autoridades estadounidenses monitorearon la propagación del malware durante varios años, junto con los piratas informáticos de Turla que operaban Snake desde las instalaciones del FSB en Moscú y la cercana ciudad de Ryazan.
El FBI dijo que desarrolló una herramienta llamada «Perseo», el héroe griego que mató monstruos, que permitió a sus agentes identificar el tráfico de red que el malware Snake había tratado de ofuscar.
Entre 2016 y 2022, los funcionarios del FBI identificaron las direcciones IP de ocho computadoras comprometidas en los EE. UU., ubicadas en California, Georgia, Connecticut, Nueva York, Oregón, Carolina del Sur y Maryland. (El FBI dijo que también alertó a las autoridades locales para eliminar las infecciones de Snake en máquinas comprometidas ubicadas fuera de los Estados Unidos).
Con el consentimiento de la víctima, el FBI obtuvo acceso remoto a algunas de las máquinas comprometidas y las supervisó durante «años a la vez». Esto permitió al FBI identificar a otras víctimas en la red Snake y desarrollar capacidades para hacerse pasar por los operadores de Turla y emitir comandos al malware Snake como si los agentes del FBI fueran los piratas informáticos rusos.
Luego, esta semana, después de obtener una orden de registro de un juez federal en Brooklyn, Nueva York, el FBI recibió luz verde para ordenar en masa el cierre de la red.
El FBI usó su herramienta Perseus para imitar los comandos integrados de Snake, que cuando Perseus los transmite desde una computadora del FBI, «finalizarán la aplicación Snake y, además, desactivarán permanentemente el malware Snake al sobrescribir los componentes vitales del implante Snake sin afectar cualquier aplicación o archivo legítimo en las computadoras en cuestión”.
La declaración jurada decía que el FBI usó Perseus para engañar al malware Snake para que se borrara automáticamente en las mismas computadoras que había infectado. El FBI dice que cree que esta acción ha desactivado permanentemente el malware controlado por Rusia en las máquinas infectadas y neutralizará la capacidad del gobierno ruso para acceder más al malware Snake actualmente instalado en las computadoras comprometidas.
Los federales advirtieron que si no hubieran tomado medidas para desmantelar la red de malware cuando lo hicieron, los piratas informáticos rusos podrían haber aprendido «cómo el FBI y otros gobiernos pudieron desactivar el malware Snake y fortalecer las defensas de Snake».
Si bien el FBI ha deshabilitado el malware Snake en las computadoras comprometidas, el DOJ advirtió que los piratas informáticos rusos aún podrían tener acceso a las máquinas comprometidas, ya que la operación no buscó ni eliminó ningún malware adicional o herramientas de piratería que los piratas informáticos pudieran haber colocado en la víctima. redes Los federales también advirtieron que Turla implementa con frecuencia un «registrador de teclas» en las máquinas de las víctimas para robar las credenciales de autenticación de cuentas, como nombres de usuario y contraseñas, de usuarios legítimos.
La agencia de ciberseguridad de EE. UU. CISA lanzó un aviso conjunto de 48 páginas para ayudar a los defensores a detectar y eliminar el malware Snake en sus redes.
Leer más: